Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Mevade.A.95

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.09.2013, 01:35   #1
Matze123
 
TR/Mevade.A.95 - Standard

TR/Mevade.A.95



Hallo, ich habe seit heute Mittag eine Nachricht von Avira bekommen die so aussieht

"C:\Windows\SysWOW64\config\systemprofile\...\wins.exe"
Und das unerwünschte Programm nennt sich "TR/Mevade.A.95"

Ich habe dann natürlich auch gleich den Scan durchgeführt und es vorerst unter Quarantäne gestellt. Der Scan zeigt dass der Rechner 4 unerwünschte Programme besitzt. Das ist der Logfile :


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 10. September 2013 02:22


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : WIN7-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.4052 55009 Bytes 29.08.2013 17:56:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 10.09.2013 00:13:22
AVSCANRC.DLL : 13.6.20.2174 63032 Bytes 10.09.2013 00:13:22
LUKE.DLL : 13.6.20.2174 65080 Bytes 10.09.2013 00:13:34
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 10.09.2013 00:13:22
AVREG.DLL : 13.6.20.2174 250424 Bytes 10.09.2013 00:13:21
avlode.dll : 13.6.20.2174 497720 Bytes 10.09.2013 00:13:20
avlode.rdf : 13.0.1.42 26846 Bytes 10.09.2013 00:13:52
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 14:02:19
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 13:05:48
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 10:52:50
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 21:02:55
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 20:25:08
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 19:21:18
VBASE006.VDF : 7.11.98.187 2048 Bytes 29.08.2013 19:21:18
VBASE007.VDF : 7.11.98.188 2048 Bytes 29.08.2013 19:21:19
VBASE008.VDF : 7.11.98.189 2048 Bytes 29.08.2013 19:21:19
VBASE009.VDF : 7.11.98.190 2048 Bytes 29.08.2013 19:21:19
VBASE010.VDF : 7.11.98.191 2048 Bytes 29.08.2013 19:21:19
VBASE011.VDF : 7.11.98.192 2048 Bytes 29.08.2013 19:21:19
VBASE012.VDF : 7.11.98.193 2048 Bytes 29.08.2013 19:21:19
VBASE013.VDF : 7.11.99.52 270848 Bytes 30.08.2013 19:42:43
VBASE014.VDF : 7.11.99.167 210944 Bytes 02.09.2013 20:58:03
VBASE015.VDF : 7.11.100.3 265216 Bytes 03.09.2013 20:58:05
VBASE016.VDF : 7.11.100.95 220160 Bytes 04.09.2013 20:58:16
VBASE017.VDF : 7.11.100.197 143872 Bytes 05.09.2013 22:27:25
VBASE018.VDF : 7.11.101.11 227840 Bytes 06.09.2013 20:38:45
VBASE019.VDF : 7.11.101.79 148480 Bytes 07.09.2013 20:38:45
VBASE020.VDF : 7.11.101.80 2048 Bytes 07.09.2013 20:38:45
VBASE021.VDF : 7.11.101.81 2048 Bytes 07.09.2013 20:38:45
VBASE022.VDF : 7.11.101.82 2048 Bytes 07.09.2013 20:38:45
VBASE023.VDF : 7.11.101.83 2048 Bytes 07.09.2013 20:38:45
VBASE024.VDF : 7.11.101.84 2048 Bytes 07.09.2013 20:38:45
VBASE025.VDF : 7.11.101.85 2048 Bytes 07.09.2013 20:38:45
VBASE026.VDF : 7.11.101.86 2048 Bytes 07.09.2013 20:38:45
VBASE027.VDF : 7.11.101.87 2048 Bytes 07.09.2013 20:38:45
VBASE028.VDF : 7.11.101.88 2048 Bytes 07.09.2013 20:38:45
VBASE029.VDF : 7.11.101.89 2048 Bytes 07.09.2013 20:38:45
VBASE030.VDF : 7.11.101.90 2048 Bytes 07.09.2013 20:38:45
VBASE031.VDF : 7.11.101.160 324608 Bytes 09.09.2013 00:13:11
Engineversion : 8.2.12.118
AEVDF.DLL : 8.1.3.4 102774 Bytes 14.06.2013 20:44:23
AESCRIPT.DLL : 8.1.4.148 516478 Bytes 07.09.2013 20:38:48
AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 20:48:37
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 17:23:47
AERDL.DLL : 8.2.0.128 688504 Bytes 14.06.2013 20:44:22
AEPACK.DLL : 8.3.2.24 749945 Bytes 20.06.2013 21:02:59
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 12:47:30
AEHEUR.DLL : 8.1.4.608 6148474 Bytes 07.09.2013 20:38:48
AEHELP.DLL : 8.1.27.6 266617 Bytes 27.08.2013 19:21:09
AEGEN.DLL : 8.1.7.14 446839 Bytes 07.09.2013 20:38:45
AEEXP.DLL : 8.4.1.60 323959 Bytes 07.09.2013 20:38:48
AEEMU.DLL : 8.1.3.2 393587 Bytes 08.09.2012 15:40:22
AECORE.DLL : 8.1.32.0 201081 Bytes 23.08.2013 17:23:44
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:34:45
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 10.09.2013 00:13:08
AVPREF.DLL : 13.6.20.2174 48184 Bytes 10.09.2013 00:13:21
AVREP.DLL : 13.6.20.2174 175672 Bytes 10.09.2013 00:13:22
AVARKT.DLL : 13.6.20.2174 258104 Bytes 10.09.2013 00:13:17
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 10.09.2013 00:13:18
SQLITE3.DLL : 3.7.0.1 394824 Bytes 10.09.2013 00:13:43
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 10.09.2013 00:13:23
NETNT.DLL : 13.6.20.2174 13368 Bytes 10.09.2013 00:13:37
RCIMAGE.DLL : 13.6.20.2174 4786744 Bytes 10.09.2013 00:13:09
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 10.09.2013 00:13:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\program files (x86)\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 10. September 2013 02:22

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdobeFlashPlayerUpdateSvc> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AdobeFlashPlayerUpdateSvc> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AdobeFlashPlayerUpdateSvc> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Internet Name Service> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Internet Name Service> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerUpdateService.exe' - '30' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe>
[FUND] Ist das Trojanische Pferd TR/Fakeadb.A
[HINWEIS] Prozess 'FlashPlayerUpdateService.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548bca97.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdobeFlashPlayerUpdateSvc\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AdobeFlashPlayerUpdateSvc\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AdobeFlashPlayerUpdateSvc\ImagePath> wurde erfolgreich repariert.
Durchsuche Prozess 'Fuel.Service.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pando.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpotifyWebHelper.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'BBSvc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_IATIHAE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50STB.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_IATIHAE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50RPB.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'CodeMeterCC.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ctxfihlp.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'MFWAKeys.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'wins.exe' - '62' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe>
[FUND] Ist das Trojanische Pferd TR/Mevade.A.95
[HINWEIS] Prozess 'wins.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c0fe4ce.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Internet Name Service\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Internet Name Service\ImagePath> wurde erfolgreich repariert.
Durchsuche Prozess 'avp.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'CodeMeter.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'schtasks.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '247' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'werfault.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
[FUND] Ist das Trojanische Pferd TR/Mevade.A.95
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
[FUND] Ist das Trojanische Pferd TR/Fakeadb.A
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!


Ende des Suchlaufs: Dienstag, 10. September 2013 02:24
Benötigte Zeit: 02:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
7818 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
7814 Dateien ohne Befall
123 Archive wurden durchsucht
0 Warnungen
4 Hinweise

Alt 10.09.2013, 04:51   #2
schrauber
/// the machine
/// TB-Ausbilder
 

TR/Mevade.A.95 - Standard

TR/Mevade.A.95



hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________

__________________

Antwort

Themen zu TR/Mevade.A.95
avira, csrss.exe, datei, desktop, dllhost.exe, explorer.exe, free, hilfe, home, infiziert, internet, logfile, lsass.exe, lws.exe, modul, namen, programm, programme, prozesse, registry, scan, services.exe, spoolsv.exe, start, svchost.exe, taskhost.exe, tr/mevade.a.95, trojaner, virus, windows, winlogon.exe, wmp




Zum Thema TR/Mevade.A.95 - Hallo, ich habe seit heute Mittag eine Nachricht von Avira bekommen die so aussieht "C:\Windows\SysWOW64\config\systemprofile\...\wins.exe" Und das unerwünschte Programm nennt sich "TR/Mevade.A.95" Ich habe dann natürlich auch gleich den Scan - TR/Mevade.A.95...
Archiv
Du betrachtest: TR/Mevade.A.95 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.